Závažné zraniteľnosti produktov spoločnosti Mozilla umožňujú prevziať kontrolu nad zraniteľným zariadením
Spoločnosť Mozilla opravila sériu závažných a stredne závažných chýb prítomných v jej produktoch Firefox, Firefox ESR a Thunderbird. Najzávažnejšia z nich umožňuje vykonávať ľubovoľný kód a prevziať kontrolu nad zraniteľným zariadením.
Opis činnosti
CVE-2021-43536 – CVE-2021-43546, MOZ-2021-0009, MOZ-2021-0010
Internetové prehliadače Firefox, Firefox ESR a e-mailový klient Thunderbird obsahujú sériu zraniteľností, z ktorých najvážnejšia umožňuje útočníkom vykonávať ľubovoľný kód na zraniteľnom zariadení a prevziať nad ním kontrolu.
Medzi opravenými zraniteľnosťami sa nachádza šesť označených ako vysoko závažné:
CVE-2021-43536: v istých prípadoch môžu asynchrónne funkcie spôsobiť odhalenie cieľovej URL
CVE-2021-43537: nesprávny spôsob konverzie typu premennej zo 64-bitového na 32-bitový integer vedie ku pretečeniu zásobníka haldy
CVE-2021-43538: súbeh v kóde pre notifikácie umožňuje skryť notifikáciu pre stránky s prístupom k atribútom fullscreen a pointer lock, čo dovoľuje útoky typu spoofing
CVE-2021-43539: chyba v zaznamenávaní polohy ukazovateľov vo volaniach WebAssembly vedie ku chybe použitia odalokovaného miesta v pamäti
MOZ-2021-0009: séria chýb zabezpečenia v pamäti z ktorých niektoré majú potenciál zneužitia pre vykonávanie ľubovoľného kódu
MOZ-2021-0010: chyba prítomná vo verzii Firefox re MacOS umožňujúca použitie odalokovaného miesta v pamäti pri zmene okna z a na fullscreen
Zraniteľné systémy
- Mozilla Firefox verzie pred 95
- Firefox ESR verzie pred 91.4
- Thunderbird verzie pred 91.4
Závažnosť zraniteľnosti
Vysoká
Možné škody
- Vzdialené vykonávanie kódu
- Prevzatie kontroly nad zraniteľným zariadením
Odporúčania
Bezodkladná aktualizácia produktov Mozilla Firefox, Firefox ESR a Thunderbird.
Odkazy
https://www.securityweek.com/mozilla-patches-high-severity-vulnerabilities-firefox-thunderbird
https://www.mozilla.org/en-US/security/advisories/mfsa2021-52/